Попуст за више лиценци
Тхреат Датабасе Пецање Havoc Phishing Attack

Havoc Phishing Attack

До Mezo. у Пецање, Малваре
Преведи на:
Српски

Истраживачи сајбер безбедности открили су нову пхисхинг кампању која користи ЦлицкФик технику за примену Хавоц-а, оквира за команду и контролу (Ц2) отвореног кода. Нападачи вешто прикривају фазе малвера иза СхареПоинт сајта, користећи модификовану верзију Хавоц Демона заједно са Мицрософт Грапх АПИ-јем да прикрију комуникацију у оквиру легитимних услуга.

Замка за крађу идентитета: обмањујућа манипулација е-поштом и ЦлицкФик-ом

Напад је покренут путем е-поште за крађу идентитета која садржи ХТМЛ прилог под називом Доцументс.хтмл. Када се отвори, датотека приказује поруку о грешци која манипулише жртвом да копира и изврши неовлашћену ПоверСхелл команду. Ова техника, позната као ЦлицкФик, обмањује кориснике да поверују да треба да реше проблем са ОнеДриве везом тако што ће ручно ажурирати своју ДНС кеш меморију.

Ако циљ падне на трик, они нехотице покрећу процес инфекције покретањем ПоверСхелл скрипте која се повезује са СхареПоинт сервером који контролише нападач.

Вишестепена примена малвера: од ПоверСхелл-а до Питхон-а

Када се небезбедна ПоверСхелл скрипта изврши, она прво проверава да ли је окружење заштићено како би се избегло откривање. Ако се сматра безбедном, скрипта наставља са преузимањем Питхон-а ('питхонв.еке') ако већ није инсталирана на систему.

Одатле, друга ПоверСхелл скрипта преузима и извршава учитавач схеллцоде-а заснован на Питхон-у, који затим покреће КаинЛдр, рефлективни учитавач написан у Ц-у и Ассембли. Ово на крају поставља агента Хавоц Демон на компромитовану машину.

Хавоц’с Цапабилитиес: Стеалтхи Цибер Веапон

Нападачи користе Хавоц у тандему са Мицрософт Грапх АПИ-јем да прикрију Ц2 саобраћај у оквиру добро познатих, поузданих сервиса. Функционалности Хавоц-а укључују:

  • Прикупљање информација
  • Операције са датотекама
  • Извршење команде
  • Извршење корисног оптерећења
  • Манипулација токеном
  • Керберос напади

Гоогле огласи се користе за циљање корисника ПаиПал-а

У одвојеном, али алармантном развоју догађаја, стручњаци за сајбер безбедност су такође приметили да актери претњи искоришћавају смернице Гоогле Адс-а да циљају кориснике ПаиПал-а лажним огласима.

Ове тактике функционишу тако што се лажно представљају као легитимне странице подршке ПаиПал-а и преваре корисници да позову лажни број корисничке службе. Циљ је прикупити личне и финансијске информације жртава тако што ће их убедити да разговарају са легитимним представницима ПаиПал-а.

Рупа у Гоогле огласима: Игралиште за преваранте

Успех ових тактика техничке подршке зависи од рупе у смерницама Гоогле Адс-а, што омогућава лошим актерима да се лажно представљају за познате брендове. Све док се одредишна страница (крајњи УРЛ) и приказана УРЛ адреса подударају са истим доменом, преваранти могу да креирају убедљиве лажне рекламе.

Сајбер криминалци брзо искоришћавају популарне термине за претрагу, посебно оне који се односе на корисничку подршку и опоравак налога, обезбеђујући да се њихови лажни огласи појављују на врху резултата претраге.

Закључак: Пејзаж растуће претње

Од кампања за „пецање“ које покреће ЦлицкФик до злоупотребе у Гоогле Адс-у, сајбер криминалци непрестано усавршавају своје тактике друштвеног инжењеринга. Ове претње наглашавају важност будности, свести корисника и побољшаних безбедносних мера за ублажавање ризика које представљају еволуирајући сајбер напади.

У тренду

Најгледанији

Учитавање...